プロデューサー VPC スポーク

このページでは、Network Connectivity Center のプロデューサー Virtual Private Cloud(VPC)スポークの概要について説明します。

はじめに

一部のサービス プロバイダでは、プロバイダの VPC ネットワークとユーザーの VPC ネットワーク間の VPC ネットワーク ピアリング接続を使用して、プライベート サービス アクセス経由で提供されるサービスなどのマネージド サービスにユーザーがアクセスできます。このような場合、プロデューサー VPC ネットワークはプロデューサーが所有するプロジェクト内にあり、ユーザーが直接アクセスすることはできません。

ユーザーの VPC ネットワークで VPC ネットワーク ピアリングを介して別のプロジェクト内のプロデューサー ネットワークからサービスを利用する場合は、Network Connectivity Center のプロデューサー VPC スポークを使用して、そのサービスを他のネットワークからアクセス可能にすることができます

仕組み

プロデューサー VPC スポークを作成する際は、次の情報を指定します。

  • プロデューサー ネットワークとピアリングされているコンシューマー ネットワークの既存の VPC スポーク。
  • ピアリング接続の名前。

Network Connectivity Center はこの情報によってサービス プロデューサーの VPC ネットワークを識別し、対応するプロデューサー VPC スポークをプロジェクト内のハブに追加します。

プロデューサー VPC スポークがハブの一部になった後、そのサブネット ルートがエクスポートされ、ハブ上の他のスポークがプロデューサー VPC スポークのサービスにアクセスできるようになります。

構成の例

次の図の構成例には、以下のものが含まれています。

  • ハブ上のプロデューサー VPC スポークである、サービス プロデューサー ネットワーク
  • ハブ上の VPC スポークである、ピアリングされたコンシューマー ネットワーク
  • 追加のネットワーク(ネットワーク 3 とネットワーク 4)。これらもハブ上の VPC スポークです。

VPC スポークとしてハブに接続されているすべてのネットワークは、プロデューサー ネットワーク内のサービスにアクセスできます。

  • ピアリングされたコンシューマー ネットワークは、既存の VPC ネットワーク ピアリング接続を介してサービス プロデューサー ネットワークからエクスポートされたサブネット ルートを使用して、引き続きサービスにアクセスします。
  • ネットワーク 3 とネットワーク 4 は、Network Connectivity Center を介して、同様にプロデューサー ネットワーク内のサービスにアクセスできます。サービス プロデューサー ネットワークのサブネット ルートはハブにエクスポートされ、ネットワーク 3 と 4 に関連付けられた VPC スポークにアドバタイズされます。
Network Connectivity Center のプロデューサー VPC スポーク。
Network Connectivity Center のプロデューサー VPC スポーク(クリックして拡大)

サポート対象のサービス

サポートされているサービスのリストについては、プロデューサー VPC スポークでサポートされているサービスをご覧ください。

考慮事項

以降のセクションでは、プロデューサー VPC スポークを使用する際の考慮事項について説明します。

他の VPC スポークと共通する特性

プロデューサー VPC スポークは VPC スポークの一種です。つまり、VPC スポークの概要で説明されている VPC スポークの特性のほとんどを継承します。たとえば、どちらのタイプのスポークも次のことを行います。

  • VPC ネットワークを Network Connectivity Center ハブに接続します。
  • サブネット ルートを Network Connectivity Center ハブにエクスポートします。このルートはハブから他の VPC スポークとルーティング VPC ネットワークにアドバタイズされます。これにはプロデューサー VPC スポークに追加された新しいサブネットも含まれるため、他のスポークは新しくプロビジョニングされたサービスにプロデューサー VPC スポークからアクセスできます。
  • Network Connectivity Center ハブのルーティング テーブルから動的ルートをインポートし、ハイブリッド スポークへの接続を実現します。その場合、ハブトポロジも動的ルート交換に対応している必要があります。
  • エクスポート フィルタを使用して、エクスポートされるサブネットを制限します。

  • 以下を含む、同じ Network Connectivity Center の割り当てと上限を使用します。

    • ハブあたりのアクティブな VPC スポークの数
    • ハブ ルート テーブルあたりのサブネット ルート数

    Network Connectivity Center では、プロデューサー VPC スポークを追加すると上記のいずれかの割り当ての上限をハブが超える可能性がある場合、プロデューサー VPC スポークを追加できなくなります。ハブ ルート テーブルあたりのサブネット ルート数の割り当ての使用量を削減するには、エクスポート フィルタを使用して、エクスポートされるプロデューサー VPC スポークのサブネットを制限します。

VPC スポークの制限事項は、プロデューサー VPC スポークにも適用されます。

プロデューサー VPC スポークに固有の特性

プロデューサー VPC スポークには次のような固有の特性と要件があります。

特性 説明
依存関係

プロデューサー VPC スポークを作成するには、次のリソースと接続が存在している必要があります。

  • VPC ネットワーク ピアリングを介して、サポートされているサービスをプロデューサー ネットワークから利用する VPC ネットワーク。
  • ハブ上の VPC スポークであるコンシューマー VPC ネットワーク。
作成手順

プロデューサー VPC スポークを作成する際、サービス プロデューサー ネットワークを直接入力することはありません。代わりに次のものを入力します。

  • プロデューサー ネットワークとピアリングされているコンシューマー ネットワークの VPC スポーク。
  • ピアリング接続の名前。

ハブがスタートポロジ用に構成されている場合、プロデューサー VPC スポークと、対応する VPC スポークが同じグループに属している必要があります。
リソースのロケーション

プロデューサー VPC スポークとバッキング VPC ネットワークは、別々のプロジェクト内にあります。

  • サービス プロデューサーの VPC ネットワークは、ユーザーがアクセスできないプロデューサー所有のプロジェクト内にあります。
  • プロデューサー VPC スポーク リソースは、ユーザーのプロジェクト(ピアリングされたコンシューマー ネットワークの VPC スポークと同じプロジェクト)内に作成されます。
接続性の例外

Network Connectivity Center でプロデューサー VPC スポークを作成する際、次のリソース間の接続は確立されません。

  • プロデューサー VPC スポークと他のプロデューサー VPC スポーク。
  • プロデューサー VPC スポークと、作成時に入力したピアリング済みコンシューマー ネットワークの VPC スポーク。代わりに、この 2 つのネットワークは既存の VPC ネットワーク ピアリング接続を介して接続されたままになります。

割り振り済み IP 範囲との重複を回避する

プライベート サービス アクセス経由で提供されるサポート対象サービス用にプロデューサー VPC スポークを作成する場合は、次の点を考慮してください。

  • Network Connectivity Center では、割り振り済み IP 範囲との重複はチェックされません。ハブ上の VPC スポークの IP アドレス範囲が、プライベート サービス アクセス用に構成された割り振り済み IP 範囲と重複しないことを確認してください。
  • VPC スポークが割り振り済み IP 範囲と重複している場合、プライベート サービス アクセスでリソースを必要時に新規作成できず、エラーが発生することがあります。この問題を解決するには、割り振り済み IP 範囲を拡張または変更してください。

詳細については、サービスに割り振られた IP アドレス範囲をご覧ください。

次のステップ